エージェントのデプロイメント (Tenable Nessus Manager と Tenable Vulnerability Management)

Tenable Nessus Manager の主な目的は、オンプレミスインフラ (10,000 システム) のエージェント管理とエージェントスキャン操作を実行することでした。一方、Tenable Vulnerability Management はユーザーワークステーション (40,000 システム) のエージェント管理とスキャン操作に使用されていました。

実行される機能

デプロイされたエージェントは、システムタイプに応じて Tenable Nessus Manager または Tenable Vulnerability Management にリンクされます。
エージェントは、エージェントグループに編成されています。インストールプロセス中に、エージェントをエージェントグループに割り当てることができます。
エージェントスキャンは、エージェントグループを介してエージェントから評価結果を取得するために確立されます。
Tenable Nessus Manager または Tenable Vulnerability Management によって、エージェントのプラグインとバージョンのアップデートが自動的に適用されます。

考慮事項

Initech の社内ソフトウェア配布プロセス (このケースでは、Altiris、SCCM、Tivoli、Casper などを含む多様なプラットフォーム) を使用して、エージェントがデプロイされました。
エージェントグループに含まれるエージェントは、グループあたり 2,000 以下です (推奨は 1,000)。各エージェントグループのエージェント数を制限することで、Tenable Security Center がスキャン結果を正常にインポートできるようになります。この制限は、Tenable Security Center がデプロイメントの一部である場合にのみ適用されます。
エージェントスキャンは、1 回につき 1 つのエージェントグループに制限されていました。
エージェントスキャン配布の効率が向上したため、エージェントスキャンポリシーは、従来のネットワークスキャンよりも詳細で冗長でした。
オンプレミス/サーバーエージェントのスキャンウィンドウは、個々の組織の要件を満たすために、各サブ組織によって選択されたカスタムタイムフレームに制限されていました。
ユーザーワークステーションのスキャンウィンドウは最大 24 時間に設定され、システムがいつオンになったかにかかわらず完全にカバーされるように、毎日繰り返されました。
エージェントグループメンバーシップは、企業別に確立され、場合によっては運用層または他の部署の要件に合わせて確立されました。
Initech 社は、エージェントのデプロイメントの問題 (インストールの失敗、リンクの失敗など) を帯域外 (ログクライアント、スクリプトなど) で監視しました。
エージェントはローカルの脆弱性評価のみを実行し、ネットワークベースの評価 (SSL または CGI ネットワークベースの評価など) は行っていません。
ネットワークとファイヤーウォールは、インフラのエージェントがオンプレミスの Tenable Nessus Manager とカスタムポート経由で通信し、ユーザーのワークステーションが https://cloud.tenable.com と通信できるように設定されていました。

層の設計

設計の前提条件は、以下の通りです。

Initech 社は、社内プロセスとツールを利用して、エージェントソフトウェアをデプロイします。
Initech 社は、Tenable Nessus Manager と Tenable Vulnerability Management の両方に 30 〜 50 のエージェントグループを確立します。
Initech 社は、Tenable Nessus Manager と Tenable Vulnerability Management の両方に 30 〜 50 のエージェントスキャンを設定します。
Initech 社は、接続している 10,000 エージェントを処理できるように Tenable Nessus Manager を設定しプロビジョニングします。